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摘 要 :为 了 解决 无 证 书 短 签名 方案 中 单 KGC 权力 过 于 集中 的 问题 ,提出 一 种 基于 双重 KGC 的 无 证 书 短 签名 方案 ， 
其 中 双重 KGC 之 间 相 互 制约 ,有 效 地 减少 了 单 KGC 主 密 钥 泄露 和 被 恶意 操控 带 来 的 危害 。 随 后 在 随机 预言 机 模型 、 
k-CAA 和 Inv-CDH 问题 困难 性 假设 下 ,证 明了 签名 方案 在 适应 性 选择 消息 攻击 下 是 存在 性 不 可 伪造 的 。 最 后 与 其 
他 无 证 书 数字 签名 方案 进行 了 比较 , 并 用 C 语言 实现 了 该 方案 .实验 结果 和 分 析 表 明 该 方案 计算 量 较 低 , 运行 效率 和 
安全 性 较 高 。 
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Certificateless short signature scheme with double KGC 


Zuo Liming®t, Zhang Mengli®t, Hu Kaiyu™t, Yi Chuanjiaa 
(a. School of Science, b. SEC Institute, East China Jiaotong University, Nanchang 330013, China) 


Abstract: In order to solve the problem that the power of the single KGC in certificateless Short signature is too 
concentrated, this paper proposed a certificateless Short signature Scheme with double KGC, in which double KGC was 
restricted by each other. So it can effectively reduce the harm of the single KGC’s main key leakage and malicious 
manipulation. Then, under the random oracle model, the difficult problem of k-CAA and Inv-CDH, it proved that the 
signature scheme was existentially unforgeable under adaptive chosen message attack. Finally, it compared the signature 
scheme with other certificateless schemes, and implemented the signature scheme in C language. The experimental results 
and analysis show that the scheme has lower computational cost, higher operating efficiency and security. 
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0 引言 抵抗 恶意 KGC 攻击 ,2017 年 , 张 永 洁 等 人 中 分 析 了 文献 [8~10] 

提出 的 无 证 书 聚 合 签名 方案 的 安全 性 ， 指 出 这 三 个 方案 存在 

为 了 解决 传统 公 钥 密码 体制 中 用 户 公 钼 证 书 管理 和 证 书 ”恶意 KGC 攻击 , 并 分 别 构造 了 攻击 算法 , 实现 了 伪造 攻击 。 

传递 耗 时 的 问题 ，Shamir[ 于 1984 年 提出 了 基于 身份 的 密码 同年 ， 葛 丽 霞 等 人 0 分 析 了 刘晓红 和 张 建 中 提出 的 一 个 无 证 
言 的 第 三 方 私 钥 生 成 器 。” 书 代理 签名 方案 (43， 发 现 其 不 能 抵抗 恶意 KGC 攻击 。 


体制 ， 其 中 所 有 用 户 的 私 钥 由 一 个 可 
(private key generator ,PKG) 生 成 此 可 见 ， 单个 KGC 的 无 证 书签 名 方案 由 于 KGC 权力 
用 户 生 成 签名 或 者 解密 发 给 用 户 的 密 文 ， 这 样 就 存在 一 个 密 过 大 ， 恶 意 KGC 可 以 掌握 系统 主 密 钥 和 用 户 的 部 分 私 钥 ， 
钥 托 管 问题 ,为 了 解决 基于 身份 的 密码 体制 的 密 钥 托管 问题 ， 从 而 可 以 伪造 签名 ,会 对 系统 产生 一 定 危害 。 为 解决 单 KGC 
2003 年 , Al-Riyami 和 PatersonD 提 出 了 一 个 无 证 书 的 公 钥 密 权力 过 于 集中 的 问题 ， 本 文 提 出 了 一 种 在 随机 预言 机 模型 下 
码 体制 ， 在 无 证 书 公 钥 密 码 体制 中 ， 用 户 私 钥 由 密 钥 生成 中 可 证 安全 的 基于 双重 KGC 的 无 证 书 短 签名 方案 ， 相 比 于 其 
心 (key generation centre, KGC) 与 用 户 共 同 产生 ， 这 样 既 解决 他 基于 单 KGC 无 证 书签 名 方案 ， 一 方面 ， 双 重 KGC 之 间 可 
了 基于 身份 的 密码 体制 中 的 密 钥 托管 问题 ， 同 时 也 消除 了 传 以 相互 制衡 ， 具 有 分 权 的 效果 ， 使 得 针对 KGC 的 相关 攻击 
统 密码 体制 中 证 书 的 存储 和 管理 问题 。 随 后 ， 许 多 无 证 书 数 的 成 功 概 率 减 少 ， 从 而 可 以 降低 对 系统 的 危害 ， 另 一 方面 ， 
字 签 名 方案 相继 被 提出 。2012 年 ， 汉 蕾 等 人 DB] 在 标准 模型 下 结合 了 短 签 名 03 的 优势 ， 增 强 了 本 文 方案 的 实用 性 。 
No 

基于 双 线 性 对 构建 了 一 个 无 证 书 数字 签名 方案 。2017， 
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Gao 等 人 口 基于 CDH(computational Diffie-Hellman) 问 题 提出 1.1 双 线 性 映射 
了 无 泄露 的 无 证 书 数字 签名 方案 。 双 线 性 对 0451(Bilinear Pairings): 设 G 为 4 阶 加 法 循环 
在 无 证 书 密 码 系 统 中 ， 有 两 种 类 型 攻击 者 中 4 和 42， 一 群 ，G, 为 4 阶乘 法 循环 群 ，P 为 G 的 生成 元 ， 称 映射 
种 是 不 诚实 的 用 户 41, 它 不 知道 系统 主 密 钥 及 用 户 部 分 私 钥 ， ee:GxG 一 G, 为 双 线 对 ， 如 果 e 满 足以 下 三 条 性 质 : 
但 可 以 代替 用 户 的 公 钥 ; 另 一 种 是 恶意 的 KGC 42, 它 掌握 系 a) 双 线性 。 对 任意 mne2Zi， 有 elmP,nP)=e(P,P)™ 。 
统 主 密 钥 和 用 户 部 分 私 钥 ， 但 不 能 蔡 换 用 户 的 公 钥 。 b) 非 退化 性 。 e(P,P)z1。 
前 已 有 的 基于 单 KGC 的 无 证 书签 名 方案 ， 部 分 不 能 c) 可 计算 性 。 假 设 mne2Zs， 则 存在 多 项 式 时 间 算 法 计算 
收 稿 日 期 :2018-10-08; 修 回 日 期 :2018-12-26 ”基金 项 目 : 国家 自然 科学 基金 资助 项 目 (11761033); 江 西 省 教育 厅 科 技 项 目 (GJJ161417, GJJ170386) 
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男 ， 江 西 宜春 人 ， 硕 士 研究 生 ， 主 要 研究 方向 为 信息 安全 . 
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e(mP,nP) 。 

1.2 困难 问题 的 假设 
定义 1 -C44 问题 。 对 某 一 个 整数 k 和 seZz(s 是 未 知 

的 随 机 数 ) ， PeG, 给 定 {ee er eZ; 3 P,sP 和 


中 ， 计 算 (c- 


月， 其 中 ce2;， 


| 1 1 1 
S+el s+eé, 3 十 er 
CE¢{e,e,*, CL} o 

定义 2 道 CDH 问题 (inverse computational 
Diffie-HelIman problem， Inv-CDH)。 给 定 PeG,, aPeG, 
(4aeZ 是 未 知 的 )， 计 算 erP 。 
1.3 基于 双重 KGC 的 无 证 书 数字 签名 定义 

一 个 基于 双重 KGC 的 无 证 书 数字 签名 方案 由 7 个 算法 
组 成 ， 具 体 如 图 1 所 示 。 


2. 部 分 私 钥 提取 (Extract-Partial-Private- 


re ): , Key): 
入 安全 参数 L,KGCs 运 行 
a a 输入 params,KGC4 系 统 主 密 钥 x4, 和 身份 1/D， 


KGCs 运 行 该 算法 并 输出 KGC4 部 分 私 钥 d4 . 
输入 params,KGCs 系 统 主 密 钥 xp, 和 KGC4 部 
分 私 钥 d4，KGCs 运 行 该 算法 并 输出 部 分 私 钥 
czp, 并 通过 安全 信道 发 给 相应 的 用 户 . 


KGCs 运 行 算法 返回 KGCg 系 
统 主 密 钥 Xs 和 系统 公共 参数 


params. 


2 rivate- 3. 秘 密 值 建立 (Set-Secret- 

Key): Value): 输 入 params 和 用 户 的 身份 DD, 输出 用 
输入 parems ,用 户 的 部 分 私 。( 一 户 的 秘密 值 xip, 该 算法 由 系统 中 的 每 个 用 户 来 
钥 dw 和 他 的 秘密 值 ,输出 私 钥 执行 .秘密 值 空间 是 由 系统 公共 参数 params 
skip, 该 算法 由 系统 中 每 个 用 | | 和 用 户 的 身份 1D 决定 的 . 


户 来 执行 . 
| 
= 6. 得 名 (CL-Siegn): 
5. 公 钥 建 立 (Set-Public- /| 输入 params, 待 签名 消息 芭 , 用 户 的 身份 JD, 公 
Ke 只 输入 params 和 用 户 的 钥 pkip 以 及 私 钥 skip, 该 算法 输出 签名 S. 
秘密 值 xp, 输 出 用 户 的 公 铀 
Pkip. 该 算法 由 系统 用 户 执行 ， 


7. 验 证 (CL-Verify): 
这 是 一 个 确定 的 签名 验证 算法 .输入 params， 
签名 人 的 身份 1D, 公 钥 pkip, 消 息 芭 以 及 签名 S， 


且 执 行 完 该 算法 后 公开 公 钥 . 
公 钥 空间 是 由 系统 公共 参数 


Bee 和 用 户 的 身份 信息 运 回 ”说 明 访 炙 名 有 效 否则 返回 “0”, 说 


明 该 签名 无 效 . 


图 1 基于 双重 KGC 的 无 证 书 数字 签名 定义 

Fig.1 Certificateless digital signature definition 
1.4 基于 双重 KGC 的 无 证 书 数字 签名 和 
在 无 证 书 密码 系统 中 ， 存 在 两 种 类 型 的 攻击 。 一 方面 ， 
姑 为 用 户 公 钥 没有 得 到 认证 ， 所 以 敌手 有 权利 用 自己 选择 的 
不 合法 公 钥 蔡 换 用 户 的 公 钥 ， 但 不 知道 系统 主 密 钥 及 用 户 的 
部 分 私 钥 ， 即 存在 用 户 公 钥 蔡 换 攻 击 ; 男 一 方面 
知道 系统 主 密 钥 ， 从 而 可 以 计算 出 用 户 部 分 私 铀 ， 但 是 不 能 


蔡 换 用 户 公 钥 ， 即 存在 恶意 但 被 动 的 KGC 攻击 。 因 此 ， 一 个 
安全 的 无 证 书 密码 方案 应 该 至 少 抵抗 上 述 两 种 攻击 。 

本 文 基于 上 述 传统 单 KGC 无 证 书 攻击 类 型 ， 结 合 双重 
KGC 的 特点 ， 详 细 给 出 了 针对 于 本 文 方案 具备 不 同 能 力 的 两 
种 敌手 ， 一 种 是 不 诚实 的 用 户 ， 记 为 4 ， 另 一 种 是 恶意 但 被 
动 的 KGc ， 记 为 汪 。 这 里 将 本 文 方案 里 的 双重 KGC 记 为 


KGC, 和 KGCs 。 
类 型 了 的 敌手 4 。 至 多 知道 一 个 KGC 系统 主 密 钥 ， 但 
道 用 户 的 部 分 私 铀 ， 并 且 能 替换 用 户 的 公 钥 。 
类 型 太 的 敌手 4, 。 掌 握 KGCs 和 KGCs 系统 主 密 铀 ， 知 

道 用 户 的 部 分 私 钥 ， 但 它 不 能 蔡 换 用 户 的 公 钥 。 
定 
年 
有 


义 3 一 个 无 证 书 数字 签名 方案 在 适应 性 选择 消息 攻 
存在 性 不 可 伪造 的 ， 如 果 敌 手 4， 生 在 以 下 两 个 游戏 
生 的 概率 是 可 以 忽略 的 。 

游戏 1 

挑战 者 C 和 类 型 1 的 敌手 4 交互 如 图 2 所 示 。 最 后 么 输 
出 一 个 挑战 身份 ID* 和 公 钥 pkw 的 消息 /签名 对 0m',5*) 。 如 果 
Veriy(params,1D",m', pkiy,S*)=1 和 下 面 的 条 件 成 立 ， 则 4 获胜 。 
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类 型 I 
挑战 者 C 敌手 A 
| I 
发 送 params,， 
发送 至 多 一 个 KGC 的 主客 角 
输入 安全 参数 7 运 恋 任 何 一 4 询问 
行 Setup 算 法 产生 [< 开交 任何 一 个 值 的 Hash 值 询问 1.Hash 值 询问 
KGC4 KGCs 系 统 
主 密 钥 分 别 为 Xa 和 返回 相应 的 Hash 值 
Xp 和 系统 参数 | -一 -一 
params, 然 后 发 送 
| | 提交 一 个 除 1D* 以 放 合 法 ee 
et , 秘 身 从 7D 的 部 分 私 铀 询问 2. 部 分 私 钥 询 问 
”| | 返回 1D 对 应 的 部 分 私 钥 dip 
提交 一 个 除 1D* 以 欠 合 法 一 
[< 身份 1D 的 私 钥 询问 ”| | 3. 私 钥 询问 
| _ 返 回 /D 对 应 的 私 钥 skp __ 
提交 一 个 除 1D* 以 外 一 一 一 
合法 身份 JD 的 公 铀 询问 | 4 公 负 询问 | 
返 回 JD 对 应 的 公 钥 pkip 
提交 一 个 自己 选择 的 
公 钥 pkip' 替换 PKip | 5. 公 铀 炎 换 | 
提交 一 个 除 1D*M9Y 合 法 身 || 
< 法 JD 却 淳 自 my 八 多 2 捧 1 16. 签名 询 间 | 
CO | paamshs 
根据 身份 万 im 
对 应 的 私 钥 输出 一 个 身份 D* 和 和 
生成 消息 芭 上 php 对 应 的 消息 /签名 
| 的 签名 S_| | 1 对 (m2%S 游戏 结束 


图 2 挑战 者 C 与 类 型 1 敌手 游戏 过 程 
Fig.2 Game process between Challenger C an d adversary of type I 


类 型 II 
挑战 者 C 敌手 A2 
! 发 送 params， ' 
| KG6CKGCs 系 统 主 密 铀 xaxp_ | 
输入 安全 参数 7 运行 | | 提交 任何 一 个 值 的 Fasz 值 询问 | | 
Setup 算 法 产生 1.Hash 值 询问 
KGCaKGCg 系 统 主 密 返回 相应 的 Hash 值 | 
钥 分 别 为 % 和 鸡 系 
统 参数 params, 然 
后 发 送 params 给 Az 提交 一 个 除 1D* 以 欠 合 法 
¢ 身份 的 私 钥 询 问 2. 私 钥 询 问 
返回 JD 对 应 的 私 钥 skip 
提交 一 个 除 1D* 以 分 合法 
身份 1D 的 公 钥 询问 3. 公 钥 询 问 
返回 ID 对 应 的 公 钥 pkip 
提交 一 个 除 1D* 以 人 合法 身 
份 万 却 淳 筷 m 的 歼 儿 询 洒 
< | | 4. 答 名 询问 
SC | 返回 m7D 则 应 的 和 名 S je 
输出 一 个 身份 JD* 
和 PH 对 应 的 消息 
/签名 对 (mm*S*， 
游戏 结束 


于 3 ”挑战 者 C 与 类 型 工 敌 手 游 戏 过 程 
Fig.3 Game process between Challenger C and adversary of type II 
a) ID* 从 来 没有 被 提交 给 私 钥 提取 预言 机 ; 


b) ID* 从 来 没有 既 被 提交 给 替换 公 钥 预言 机 又 时 提交 给 
部 分 私 钥 提取 预言 机 ; 
c) 00 ,3 1D pkp:) 不 是 签 言 机 得 到 的 。 
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游戏 2 

挑战 者 C 和 类 型 五 的 敌手 4 交互 如 图 3 所 示 。 最 后 4 输 
出 一 个 挑战 身份 ID" 和 公 钥 pk 的 消息 /签名 对 (1,5") 。 
Veriy(params,1D*,m, pkip.,S*)=1 和 下 面 的 条 件 成 立 ， 则 4 获胜 。 

a) ID* 从 来 没有 被 提交 给 私 钥 提 取 预 言 机 ; 

b) Gn,S",1D",pkp) 不 是 由 签名 预言 机 得 到 的 。 


2 ”基于 双重 KGC 的 无 证 书 短 签名 方案 


2.1 方案 构造 
a) 系 统 建立 。 给 定安 全 参数 1!，G, 和 G, 分 别 是 加 法 循环 
群 和 乘法 循环 群 ，P 是 G 的 生成 元 ，G 的 阶 9 。 双 线性 对 


e:G xG 一 G ， 选 择 两 个 抗 碰撞 的 Hash 函数 : HH:{04} 过 2， 


H:{01} xG 一 2Z; 。KGC 选取 一 个 秘密 值 msZ 作为 KGC, 系 


统 的 私 钥 ， 计 算 y=xPeG 作为 KGC 系统 的 公 钥 并 公布 ， 
然后 秘密 保存 x% 。 KGCs 选取 一 个 秘密 值 we2 作 为 KGCs 系 
统 的 私 钥 ， 计 算 y=xsPeG 作为 KGCs 系统 的 公 钥 ， 并 计算 
T=xsy4=xaxsP 作为 联合 公 钥 公布 ， 然 后 秘密 保存 x 。 任 何 
人 都 可 以 通过 e(7,P)=ely4,ys) 来 验证 7 的 有 效 性 。 KGcs 和 
KGCs 公布 联合 系统 参数 params ={G,G,,e,g,P, Hi,H, ya, ya,T} 。 


b) 部 分 私 钥 提 取 。 给 定 身 份 De{0,1}， 


KGC, 计算 


1 本 RS 
Oo = HUD), ds =o P, 将 di 通过 安全 信道 发 送 给 KGCs 。 
A DD 


KGCs 首先 验证 4 的 有 效 性 通过 下 面 等 式 成 立 : 
e(di,ya +QwpP)=e(P,P) 。 验 证 成 功 后 ， 评 售 Qp = Hi(1D) ， 
1 Nn Es A 
SO ， 然 后 通过 安全 信道 发 送 部 分 私 钥 dw 给 身份 
为 媚 的 用 户 。 
c) 秘 密 值 建立 。 用 


ID 


户 万 随机 挑选 ze eZ; 作为 自己 的 秘密 


值 。 


d) 私 钥 建 立 。 用 户 根据 部 分 私 钥 wo 和 他 的 秘密 值 x ， 
输出 数据 (do,zo) 作为 该 用 户 的 私 钥 。 

ej) 公 铀 建立 。 用 户 计 算 Qs=HUD) ， 
R=T+Qpy4+Qopys+Q%P ， 产 生 该 用 户 的 公 钥 为 pep =xzmR。 


签名。 身份 为 ID 的 用 户 对 消息 me{0, 签名 如 下 : 
(®) 令 hm pkin); 

ee 
(b) 计 算 5= h+xp 0 


则 $ 就 是 身份 为 ID 的 用 户 对 消息 m 的 签名 。 
验证 。 给 定 消息 /签名 对 (m,5) ， 验 证 者 计算 如 下 : 
(a) 令 h= H,(m, pkp); 
(b) 接 受 该 签名 并 返回 a) 
e(S,hR+ pkip)=e(P,P) 。 
签名 等 式 的 正确 性 证 明 如 下 : 


2 ‘dip,hR + pkin) 
h+ x 


Ik 
] 


仅 当 以 下 等 式 成 立 : 


e(S,hR+ pkp) =e( 


= 1 1 1 
ht+xp Xs+Qp Xa+Qp 
1 1 


e( : 
ht+xp Xaxs+XaQip+ XpQp+Qh 


P,hR + pkip) 


P,hR + pkis) 


1 1 


=e( 2 
h+Xp XaXs+XaQip+ XpQp +Qh 


P,hR+ xpR) 
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1 1 


i e( 室 
h+Xp XaXgp+XaQip +XsQip +Oh 


P,(h+ xp)R) 


co 1 六 
Nixp mis+iOp tiQp tO% " =e(P,P) 
(hh+xXp) (XaxsP+ Qipya + Qipys + QHP)) 

2.2 ”安全 性 分 析 

设 单 KGC 密 钥 泄露 的 概率 为 ? ， 那 么 本 文 所 构造 的 双 
重 KGC 密 钥 泄露 的 概率 为 p?, 所 以 如 果 基 于 单 KGC 是 安全 
的 ， 那 么 基于 双重 KGC 也 是 安全 的 。 

定理 1 在 随机 预言 机 模型 中 ,在 gs -C44 及 Inv-CDH 难 
题 假设 下 ， 本 文 提出 的 基于 双重 KGC 的 无 证 书 短 签名 方案 
在 适应 性 选择 消息 攻击 下 是 存在 性 不 可 伪造 的 。 

定理 1 可 由 下 面 的 引 理 1~3 推导 出 。 

引 理 1 针对 敌手 工 类 型 ， 假 定 存在 一 个 适应 性 选择 消 
息 和 签名 攻击 算法 4 以 在 概率 多 项 式 时 间 上 内 以 不 可 忽略 的 
优势 = 攻破 了 本 方案 , 不 妨 设 4 不 知道 KGC 系统 主 密 钥 , 但 
是 知道 KGCs 系统 主 密 钥 ， 并 记 m ，94s ，4 ，4mx ，4 分别 
为 4 进行 H(i=1,2) 询问 、 部 分 私 钥 提 取 询 问 、 私 钥 提 取 询 问 、 
公 钥 询问 和 签名 询问 的 次 数 ，tn; ，ts ，ts ，tm，4 分 别 表 示 
一 次 8H; 预言 机 询问 、 一 次 部 分 私 钥 提取 预言 机 、 一 次 私 钥 提 
取 询 问 、 一 次 公 钥 询问 、 一 次 签名 询问 所 需 时 间 ， 则 存在 一 
冰 CE) 算 法 C 在 时 间 


1'<t+(qgte + qete + qtpr + qsts)+2(qntn, + qn,tn,) 内 以 


se bo ， 
E'>(E 一 )( qs Joerora (到 qe) 优势 解决 qs —CAA 问题 。 
2 qn dm 
证 明 ”给 定 算法 C 


. 
P,ya=xaPeG,, ,e162,,Cgs ELy 和 


个 gz-C44 问题 的 实例 : ”公开 
下 
XA4 十 名 X4 十 E2 


(Xa 


“xa + es, 
是 未 知 的 )，c 的 目标 是 调用 4 为 子 程序 ， 最 后 输出 ae -C4A4 


cl 日 和 
问题 的 一 个 解 (0 二 Fo 了 ， 其 中 @' gf{e,e,,…,ej}。 


在 游戏 中 假定 对 任意 用 户 身份 Dp , 签名 攻击 算法 4 在 进 
行 部 分 私 钥 提 取 询 问 ， 私 钥 提取 询问 ， 公 钥 替换 ， 签 名 询问 
以 及 输出 签名 之 前 都 询问 过 关于 用 户 身份 加 的 也 和 五 预 


C 运行 KGCi 系统 建立 算法 , 令 y=xaP 作为 KGC。 系统 的 
里 充当 的 是 KGC 系统 主 密 钥 ,a 对 C 是 未 知 的 )。 
C 运行 KGCs 系统 建立 算法 ， 选 择 避 eZ 充当 KGCs 系统 
密 钥 , 计算 ys =xsP 作为 KGCs , 系统 的 公 钥 ,T= xsy4 =xaxsP 
作为 系统 联合 公 钥 ( 对 是 已 知 的 )， 发 送 系 统 联合 参数 
params ={P,Hi, Hs,ya,ya,T} 和 KGCs 系统 主 密 钥 x 给 44。 则 攻 
击 算法 4 向 挑战 者 c 适应 性 执行 下 面 询问 : 
a) Hi 询问: C 维护 一 个 列表 BE , 该 列表 由 表 项 ID,,2) 组 


成 的 ， 构 造 如 下 : 准备 了 gn 个 应 答 ,22 ， 其 中 将 数据 


ee eu 随机 分 布 在 集合 中 。 当 4 进行 关于 身份 已 的 总 询 
问 ，C 执行 如 下 操作 : 


(a) 如 果 1D=1D" ，C 从 列表 中 挑选 一 个 Qe{a,e,…,e} 返 


可 给 4 。 


六 
赤 
上 


人) 否则 ，C 从 集合 {a,6…,e} 中 随机 挑选 一 个 值 。， 
令 CD)=e， 返 9| 0;=e; 给 4 o 

b) 部 分 私 钥 提 取 询 问 。C 维护 一 个 列表 Ew ， 该 列表 
表 项 UDi,8..dw) 组 成 。 当 4 进行 关于 身份 1D 的 部 分 私 钥 时 ， 
C 从 Hr 中 恢复 4D,8)， 然 后 执行 如 下 操作 : 
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1 P 2 
() 如 果 Qe{a.@.… 一 po (不 妨 设 


2=e)， 然 后 将 dw 返回 给 和 并 增加 记录 (Di,8.,4w) 到 列表 
Elist 


ez } ? 则 令 dm lS 


(b) 否 则 C 停止 模拟 
表示 )。 

c 公 钥 询问 。 cC 维护 一 个 列表 pk ， 该 列表 由 表 项 
UDi,Q,pkw,n) 组 成 , 该 表 初 始 化 为 空 。 当 4 进行 关于 身份 ID 
的 公 钥 询问 时 , C 检查 列表 中 是 否 存在 对 应 的 值 。 如 果 存 在 ， 
则 输出 对 应 的 值 。 否 则 ，C 从 列表 Bs :0D,8) 恢复 出 2 ， 然 
后 挑选 一 个 随机 数 *e2Z;， 计 算 pk =7(T+Qiya+Q;ys +Q2P)， 
并 返回 公 钥 Pkw 给 4 。 然 后 增加 记录 (UD,8,pko,n) 到 列表 
PK 。 

d) 私 钥 提 取 询 问 。 当 4 进行 关于 身份 1D 的 私 钥 提 取 询 问 
时 ，C 首先 从 85 列表 中 恢复 出 2 ， 然 后 执行 如 下 操作 : 


(a) 如 果 Q e{@,@,…,@} ， 从 列表 Ew 和 列表 pk 中 恢复 出 


相应 的 记录 (UD,8,dwm) 和 记录 (Di,Q,pkip,1) ， 
so = (dv,) 并 将 wo 作为 对 应 私 钥 返 回 给 4 。 

(b) 否 则 ，C 停止 协议 并 输出 “FAILURE”( 该 情况 用 互 表 
示 )。 

e) 公 钥 蔡 换 。 4 输入 UDi,Pkio) ，C 修改 列表 pk* 中 的 记 
录 CD,O,pkp:n 为 CD,2,pko) ， 将 用 户 ID 的 公 钥 pk 替换 
为 PKm 。 

D 丈 询问 。cC 维 护 一 个 列表 az ， 该 列表 由 表 项 
CD,mC,pkn) 组 成 。 当 和 进行 关于 (Di,m) 的 Hs 询问 时 , C 
随机 选择 为 如， 令 加 =Hlmphw) 并 返回 给 4 ， 然 后 增加 记 
录 (UD,m,Q, pk,h) HB) HY 。 

g) 签 名 询问 。 当 4 进行 关于 UD,m) 的 签名 询问 时 ，C 首 
先 从 BH 包 中 恢复 UD,8) ， 然 后 执行 如 下 操作 : 


C 从 列表 Ew 提取 记录 


CD,O.dm) ， 从 me 中 提取 记录 UD,Opka:m ， 从 列表 Hr 中 
提 取 记 录 (1D;,m;, 0;, pkp, ， h ) 5 计 算 
。 
nth Cth)ma +t+Q)xs +Q) 
(b) 否 则 , 停止 协议 , 输出 “FAILURE”( 该 情况 用 户 表 示 )。 
C 输 出 签名 5;。 
最 后 ，44 停 止 训练 并 输出 一 个 挑战 身份 万 "的 消息 /签名 
对 0m,s") ，1D" 对 应 的 公 钥 为 mw ， 且 满足 等 式 
Veriytr,D",pkwz,S)=1 。C 从 列表 pkw 提取 相应 的 记录 


UD",Q,pkwp,7") ， 从 列表 Hi 提取 记录 UD ,2 ,Pkio.,h)， 然 
后 执行 如 下 操作 : 
(a) 如 果 Qe{e,e…,en}，C 输 出 *FAILURE” 并 停止 该 协 


议 (该 事件 用 表示 )。 
(b 否则 ， 就 有 下 面 的 等 式 成 立 : 
e(S°,m (T+Q'ys +Q'ys + QP)+ pk.) =e(P,P) 


e(S°,(h +r)T+O y+Q' ys +Q™P) 


输出 “FAILURE”*( 该 事件 发 生 用 五 


c 令 


(a) 如 果 0 Ee {ei,e,. ,Cy } » 


即 =e( (OP +r )(xa +Q°)(xs +Q°),P) 
=e(P,P) 
i 、 、| Ar 1 /Dr | NN QC* 
所 以 C 可 以 成 功 地 计算 Co (1 +r')(xs +Q°)S" 。 


1 
C 输 出 数组 (8', 一 一 -一 P)， 


(xa +0°) Ce{ee ec 作为 问题 的 解 ， 
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从 而 C 解 决 了 wz-C44 问题 。 

下 面 分 析 c 在 这 个 游戏 中 获胜 的 优势 : 

a)4 的 忒 和 灰 的 询问 的 应 答 是 均匀 分 布 的， 与 现实 不 
可 区 分 。 
b) 部 分 私 钥 提取 询问 ， 私 钥 提 取 询 问 和 签名 询问 能 够 顺 
利 的 进行 不 停止 ， 即 事件 互 ，E,，E 都 不 发 生 。 

c) 果 事件 互 ，E,，E 和 都 不 发 生 时 ， 则 C 能 解决 
qe ~-CAA 问题 的 一 个 实例 o 则 可 得 事件 E, E,, E, 和 E 都 不 
发 生 的 概率 满足 : 
Pr(E AE, EAB) 2 (dE )rare (A 95) 

qn qn 

但 是 当 丸 没有 询问 所 而 伪造 了 一 个 有 效 的 签名 时 ， 这 
种 模拟 是 存在 漏洞 的 ， 考 虑 到 预言 机 输出 满足 均匀 分 布 ， 该 


事件 发 生 的 概率 为 去， 所 以 c 在 该 游戏 中 的 优势 为 


dE 


A 


2 >(2 一 行 时 
1 <t+(gets + qete + qrtpe + qsts)+2(qntn, + qutn,) 。 
引 理 2 对 敌手 I 类 型 ,假定 存在 一 个 适应 性 选择 消息 
和 签名 攻击 算法 4 以 在 概率 多 项 式 时 间 1 内 以 不 可 忽略 的 优 
势 = 攻破 了 本 方案 , 不 妨 设 4 既 不 知道 KGC 系统 主 密 钥 , 也 
不 知道 KGCs 系统 主 密 钥 ， 并 记 gm ，gs ，9s，4m， 4 分 别 
为 4 进行 H(i=1,2) 询问 、 部 分 私 钥 提 取 询 问 、 私 钥 提 取 询 问 、 
公 钥 询问 和 签名 询问 的 次 数 ，tws ，ts ，ts ，tm ， 分 别 表示 
一 次 H; 预言 机 询问 、 一 次 部 分 私 钥 提 取 预 言 机 、 一 次 私 钥 提 
取 询 问 、 一 次 公 钥 询问 、 一 次 签名 询问 所 需 时 间 ， 则 存在 一 
个 (10,8) 算 法 C 在 时 间 


1'<t+(qgte + qete + qtpr + qsts)+2(qntn, + qn,tn,) 内 以 


1 ; , ce ME 
ym 和 9- 瑟 ) ， 运 间 满 足 


,1 ji 旺 ， 
a'>(e— _)( dE )aeraitg (到 qe) 优势 解决 dr 一 C44 问题 。 
2 qn dm 


引 理 2 证 明 类 似 引 理 1 的 证 明 ， 限于 篇 幅 ， 
出 证 明 。 

引 理 3 对 敌手 I 类型， 假定 存在 一 个 适应 性 选择 消息 
和 签名 攻击 算法 4 以 在 概率 多 项 式 时 间 1 内 以 不 可 忽略 的 优 
势 s 攻 破 了 本 方案 ， 记 4u195,4m14; 为 妨 进 行 H(i=1,2 询 问 、 
私 钥 提 取 询 问 、 公 钥 询 问 和 签名 询问 的 次 数 ，fh,， ts ， tm， 
分 别 表示 一 次 Hi 询问 、 私 钥 提 取 询 问 、 公 和 钥 询 问 、 签 名 询 
问 所 需 时 间 ， 则 存在 一 个 4s) 算法 C， 在 时 间 


1t'<t+(gqets + qtpr + qsts) + 2(qn tn + qu,tn,) 内 以 


本 文 不 给 


, 1 1 1 i 、 
2 = 人 二 的 优势 解决 Iw-CDH 问题 。 
而 HI 


证 明 ” 定 给 Cc 一 个 问题 的 实例 : 给 定 ?eG,W eZ 和 
(+ 有 r)PeG(reZ 是 未 知 的 )，C 的 目标 是 通过 与 4 交互 输出 
P 
(r+h)° 
C 运行 KGC 系统 建立 算法 ,挑选 eZ 作为 KGC4 系统 
主 密 钥 ,计算 y=xP 作为 KGC4 系统 的 公 钥 (这 里 避 对 C 是 已 


知 的 )。 


C 运行 KGcs 系统 建立 算法 ， 选 择 ms2x 作为 KGCs 系统 
主 密 铀 ， 计 算 y=xsP 作为 KGCs 系统 的 公 钥 ， 计 算 
T=xsya=XaxsP 作为 系统 联合 公 钥 ， 并 令 X=rP， (这 里 对 
C 和 丸 是 已 知 的 ，r 对 C 是 未 知 的 )，C 挑选 身份 1D, 作为 挑 
战 身份 ， 发 送 系 统 联合 参数 params ={P,H,H,y4,ys,T}， KGC 
系统 主 密 钥 XA 和 KGCs 系统 主 密 钥 Xp 给 4 。 然后 攻击 算法 4 
向 挑战 者 C 适应 性 执行 下 面 询 问 ， 
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录用 定稿 左 黎 明 ， 等 : 
a) Hi 询问。C 维护 一 个 列表 2 ,该 列表 由 表 项 (ID,,2) 组 


成 。 当 么 进行 关于 身份 四 的 局 询问 时 ， 如 果 该 询问 值 已 在 
列表 中 ，C 返回 列表 中 对 应 的 值 。 否则 c 执行 如 下 操作 : 

(a) 如 果 DB =1D, ，c 挑选 一 个 随机 数 C <{Q,@….0,,} 并 
返回 给 4 ， 并 增加 记录 CD,2) 到 列表 H* 。 


(b) 否 则 ，C 从 集合 {8,8…,8,.} 中 随机 挑选 一 个 值 2 ， 


并 定义 (1D)=Q， 返 回 Q 给 4, 。C 增 加 记录 (0D,2) 到 列表 
HW 。 

b) 公 钥 询 问 。cC 维护 一 个 列表 pk ， 该 列表 由 表 项 
UD,Q,,pkw,n) 组 成 , 该 表 初 始 化 为 空 。 当 进行 关于 1D; 的 公 
钥 询问 时 ， C 检查 列表 中 是 否 存在 对 应 的 值 。 如 果 存 在 ， 则 
输出 对 应 的 值 ， 否 则 ，C 从 6 提取 出 记录 UD,8) ， 然 后 执 
行 如 下 操作 : 
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7-CD5 问题 。 

下 面 分 析 c 在 这 个 游戏 中 获胜 的 优势 : 

a) 对 年 的 马 和 环 的 询问 的 应 答 是 均匀 分 布 ， 与 现实 不 
可 区 分 。 

b) 对 私 钥 提取 询问 和 签名 预言 机 询问 能 够 顺利 的 进行 不 
停止 ， 即 事件 互 ， 5; 都 不 发 生 。 

c) 所 以 整体 来 说 ， 如 果 事 件 互 ，E, 和 5 都 不 发 生 时 ， 则 
C 能 解决 wv-CDH 问题 的 一 个 实例 。 则 可 得 事件 EE，E, 和 
都 不 发 生 的 概率 满足 : 

Pr( 一 局 和 mE, 人 和 -bE)>(— : )9Etas 
qa dn 

当 罗 没有 询问 而 伪造 了 一 个 有 效 的 签名 时 ， 这 种 模 
拟 是 存在 漏洞 的 ， 考 虑 到 预言 机 输出 满足 均匀 分 布 ， 该 事件 


(a) 如 果 1D = ID, a 令 Pk, = (Xaxp + XaQ; + xsQ; + OQ)X x 返 口 
Phkm 给 4， 并 且 增加 记录 CD,2,pkn) 到 列表 pk 。 


(bb) 否则， 挑选 一 个 随机 数 *sz ， 计 算 
Pip =TC+O+Oy+oO2P) ， 返 回 公 钥 pk 给 4, 。 然 后 增加 


记录 (1D;, Q;, pkip,,) 到 列表 pkti 。 
c) 私 钥 提 取 询 问 。 当 4% 进行 关于 冯 的 私 钥 询问 时 ，C 执 
行 如 下 操作 : 


发 生 的 概率 为 去 ， 所 以 C 在 该 游戏 中 的 优势 为 
1 | 1 _ 六 
eS2(e-3)N ， 运 行 时 间 为 


du du 
1t'<t+(gqete + qprtp + qsts)+2(qntn, + qu,tn,) 。 
2.3 方案 性 能 分 析 
如 表 1 所 示 ， 将 本 文 方案 与 近 几 年 的 椭圆 曲线 版 本 的 无 
证 书 数字 签名 方案 从 签名 过 程 ， 验 证 过 程 ， 签 名 长 度 等 性 能 


(a) 如 果 1D=1D, ，C 停 止 协议 并 输出 “FAILURE”*( 该 情况 


用 五 表示 )。 
(b) 否 则 ，C 从 Hr，pk* 中 提取 相应 的 记录 (UD,8) 和 记 
P 
之 i i? Ds i 今 1D; ?人 之 这 全 2 o 
录 (Qi 用，C 令 rrTOGTOJ 并 发 送 给 名 
d) 三 询问 。C 维护 一 个 列表 HB ， 该 列表 由 表 项 


QDsm,@,pkm, 扣 组 成 。 当 和 妨 进 行 关于 UD,m) 的 所 询问 时 ，C 
随机 选择 及 eZ ， 令 有 = 本 (mi,pkhp) 。 然 后 增加 记录 
(Dm Q, pkin sh) 到 HE 

e) 签 名 询问 。 当 和 进行 关于 (QD,m) 的 签名 询问 ，C 执行 
如 下 操作 : 


方面 进行 比较 ， 其 中 Sm 表示 一 次 在 G 上 的 倍 点 运算 ，Pr 表 
示 一 次 双 线 性 对 运算 ， 万 表示 一 次 映射 到 点 的 哈 希 运算 。 

Tso06 方 案 在 签名 过 程 中 用 了 一 次 G 上 的 倍 点 运算 ， 一 次 映 
射 到 点 的 哈 希 运 算 ， 在 验证 过 程 用 了 2 次 双 线 性 对 运算 ， 一 
次 G 上 的 倍 点 运算 和 一 次 映射 到 点 的 哈 希 运算 。 Chenf "方案 
在 签名 过 程 中 用 了 一 次 G 上 的 借 点 运算 ， 在 验证 过 程 用 了 二 
次 双 线 性 对 运算 , 一 次 G 上 的 倍 点 运算 和 一 次 映射 到 点 的 哈 
希 运算 。Gayathri08 方 案 在 签名 过 程 中 用 了 3 次 G 上 的 倍 点 
运算 ， 在 验证 过 程 用 了 2 次 双 线 性 对 运算 ， 一 次 G 上 的 倍 点 
运算 .Karati0l9] 方案 在 签名 过 程 中 用 了 2 次 G 上 的 倍 点 运算 ， 
在 验证 过 程 用 了 1 次 双 线 性 对 运算 ，2 次 G 上 的 倍 点 运算 。 


(a) 如 果 B=1D, ， 则 停止 协议 ， 输 出 “FAILURE”( 该 情况 。 相 比 以 上 的 方案 ， 本 文 的 方案 在 签名 过 程 中 用 了 1 次 G 上 

用 己 表 示 )。 的 倍 点 运算 ， 在 验证 过 程 用 了 1 次 双 线 性 对 运算 ，1 次 G 上 
人 ) 和 否则，C 从 pk 中 恢复 0D,8,pkw,7)， 从 列表 HY 调 的 倍 点 运算 ， 结 果 表明 本 方案 效率 更 高 。 在 签名 长 度 方面 ， 

ee < P | 比较 的 无 证 书 数字 签名 方案 中 ， 除 Gayathri 和 Karati 签名 长 

I++ 度 为 21G.|， 剩 余 方 案 都 为 | 6G, |， 通 过 以 上 对 比 表明 本 方案 的 


C 输 出 签名 5;。 
最 后 ， 条 停止 询问 并 输出 一 个 挑战 身份 万 :的 消息 /签名 
对 4,5*) ， ID* 对 应 的 公 钥 为 wk ， 且 满足 等 式 
Veriy(m,1D',pkiy,S*)=1， 然 后 C 执行 如 下 操作 : 
(a) 如 果 1D*z1D, ，C 输出 “FAILURE”* 并 停止 该 协议 (该 习 
件 用 名表 示 )。 


(人 b) 否 则 ， 


二 


C 从 列表 pk 中 提取 相应 的 记录 (1D”,8", Pho.)， 


从 列表 Bi 中 提取 记录 CD ,mw,8 ,Pho 入) ,从 而 有 下 面 的 等 式 


签名 长 度 较 短 ， 具 有 较 低 的 计算 量 和 较 高 的 运 
表 1 方案 性 能 比较 


行 效率 。 


Table 1 Performance comparison of schemes 
方案 签名 过 程 验证 过 程 签名 长 度 
文献 [16] 1Sm+1H 2Pr+lSm+1H |Gj| 
文献 [17] 1Sm 2Pr+lSm+1H IGi1l 
文献 [18] 3Sm 2Pr+lSm 2|Gi| 
文献 [19] 2Sm 1Pr+2Sm 2|Gi| 
本 文 方案 1Sm 1Pr+lSm [Gi 


成 立 : 
eS T+O ya +Q' ys + OP) + pk)=e(P,P) 

e(S°,(1 + (T+Q° y+Q"ys +Q™P) 
即 =e(G (OP +r)(xa +Q°)(xs +Q°),P) 

=e(P,P) 

1 
I 

输出 数组 i 了 作为 对 和 的 挑战 的 应 答 。 从 而 C 解 决 了 


2.4 实验 与 仿真 

在 Windows 7 操作 系统 下 ， 利 用 微软 Visual Studio 2012 
平台 , 结合 C 语言 环境 下 椭圆 曲线 上 的 双 线 性 对 运算 和 PBC 
库 实现 了 本 文 方案 ， 然 后 在 同一 环境 下 (操作 系统 : Windows 
7 64 位 操作 系统 ，CPU: Intel® CoreTM i3-4150 CPU @ 3.50 
GHz， 内 存 : 金士顿 HX424C15FB2 8 GB)， 运 行 近 几 年 的 椭 
线 版 本 的 无 证 书 数字 签名 方案 ， 取 方案 运行 100 次 的 平 
均 耗 时 进行 比较 ， 实 验 结果 如 表 2 所 示 ， 本 文 方案 平均 总 耗 
时 为 0.126s， 其 中 签名 平均 耗 时 为 0.024s， 验 证 平均 耗 时 为 
0.032s。 本 文 方案 平均 总 耗 时 比 Tso 方案 减少 了 约 27%， 比 


员 | 


T 


录用 定稿 


Chen 方案 减少 了 约 19%， 比 Gayathri 方案 减少 了 约 25%， 
比 Karati 方案 减少 了 约 21%。 
表 2 方案 运行 100 次 平均 耗 时 比较 


Table 2 Comparison of the average time-consuming of the 100 results 


签名 平均 验证 平均 方案 平均 
方案 
耗 时 /s 耗 时 /s 总 耗 时 /s 
文献 [16] 0.031 0.071 0.173 
文献 [17] 0.028 0.046 0.155 
文献 [18] 0.083 0.041 0.167 
文献 [19] 0.059 0.037 0.159 
本 文 方案 0.024 0.032 0.126 
3 ”结束 语 


本 文 在 现 有 的 无 证 书 密码 体制 的 基础 上 ， 提 出 了 一 种 巢 
于 双重 KGC 的 无 证 书 短 签名 方案 ， 在 随机 预言 机 模型 
下 ， 证 明了 本 文 方案 在 适应 性 选择 消息 攻击 下 是 存在 性 不 可 
伪造 的 。 本 文 方案 的 双重 KGC 之 间 相 互 制约 ， 具 有 分 权 的 
效果 , 从 而 降低 了 KGC 主 密 钥 泄露 的 概率 , 减少 了 因为 KGC 
主 密 钥 泄露 和 KGC 被 恶意 用 户 操控 对 系统 产生 的 危害 ， 提 


| JE 


高 了 方案 的 安全 性 ， 并 且 方 案 的 签名 长 度 较 短 ， 若 G 为 160 
比特 的 椭圆 曲线 群 ， 则 本 文 的 签名 长 度 只 有 160 比特 。 综 
知 ， 本 文 方案 具有 运行 效率 较 高 ， 计 算 量 较 低 ， 签 名 长 度 较 
短 , 实用 性 和 安全 性 较 强 等 特点 ,适用 于 宽带 较 低 的 环境 中 ， 
并 且 双 重 KGC 的 特性 更 易于 KGC 的 部 署 和 云 化 KGC 的 实 
岗 。 在 实际 应 用 中 ， 对 于 身份 认证 而 言 ， 光 依靠 签名 是 不 够 
的 , 还 需要 结合 其 他 技术 比如 双 因 子 认证 2024 来 加 强 安全 性 ， 
丸 此 进一步 的 研究 重点 是 如 何在 应 用 开发 中 实现 多 种 技术 融 
合身 份 认 证 。 
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